LINUX.ORG.RU

Организация мониторинга за действиями пользователя в сети

 , , ,


0

6

Подскажите такой вот вопрос, если кто знает. Сейчас поднят сервер squid на фряхе для мониторинга трафика и просмотр посещаемых сайтов пользователями. есть идея организации полного контроля над действиями пользователя. Так вот. Есть ли какая то возможность настроить такую систему. ОС не важна, нужно помимо просмотра скачаных файлов еще организовать хранение и просмотр upload файлов, куда и что пользователь положил. если такое возможно подскажите каким образом. неважно будет ли это прокси сервер или же шлюз...



Последнее исправление: Klymedy (всего исправлений: 1)

Какая страна, город, наименование организации?

И как ваш вопрос связан с тегом security, когда это называется слежка за пользователем.

*сарказм* На мегу всю вашу подноготную слили по SSL/TLS. Начни шурстить вопрос как сделать MiTM для SSL сперва, чтобы пользователь не узнал. Потом как сделаешь, задай этот вопрос еще раз.

*хотя не так* После надо научиться подбирать пароли к шифрованным rar-архивам, luks/enc-хранилищам. И только после этого снова поднять вопрос.

Есть ли какая то возможность настроить такую систему.

Да, то, что вы просите можно организовать.

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)

Опьясняю:

1. Идёшь к любому интегратору. Говоришь: «Хачу DLP».
2. К получившемуся КП плюсуешь затраты на внедрение, апгрейд старого хардваре, сети и собственно железо под DLP: основной/резервный серваки, NAS, и прочие мелочи. Можно попросить интегратора чтобы сразу включил в КП.
3. Сюда же прибавляем должность АИБ, обучение АИБ, обучение админа (т.е. тебя).
4. Отдаем руководству.
5. Руководство фалломорфирует.
6. ???
7. PROFIT!!

Других способов не предусмотрено. В противном случае имеют место быть нихреновые операционные риски для твоей собственной персоны.

Сквид выкинуть нахрен. Отключить всем инет. Для бизнс-критикал сервисов типа интернет-банка установить отдельный комп.

DLP без доменной аутентификации бесполезна. Имей ввиду. Так что прежде всего придется наводить порядок с доступом в корпоративную сеть: инвентаризация информационных активов, разработка/принятие модели угроз, сегментирование (если работаете с чем-то важным) и прочая хрень.

Macil ★★★★★
()

Если тебя интересует техническая сторона. То любая DLP-система — это руткит, на который не реагируют антивирусы.

На клиентской стороне сидит агент, который банально овладевает компом пользователя. Он же подменяет различные «драйвера» (в терминах винды) или ставит хуки на различные виндовые подсистемы. Различными способами инжектирует себя в пользовательские процессы с целью искажения их работы.

Для разработки подобного софта требуется специальная лицензия. В противном случае статьи 272/273 обеспечены.

Macil ★★★★★
()
Ответ на: комментарий от handbrake

А где здесь неправомерный доступ и вредонос?

Как раз наличие лицензии на разработку и определяет.

Macil ★★★★★
()
Ответ на: комментарий от Macil

У меня такое ощущение что вы черпаете информацию из рекламки продукта, а не нормативных документов.
Не, может я отстал от жизни, тогда буду рад увидеть какими нормативными документами хук на клавиатуру стал вредоносом. И почему за udev/squid не сажают. Или почему один хук не вредонос, а два - вредонос.

handbrake ★★★
()
Ответ на: комментарий от gh0stwizard

отлично, ты ещё ничего не подозреваешь

anonymous
()
Ответ на: комментарий от gh0stwizard

Ответ на ваш вопрос

Одно из минов Украины... Под тегом security подразумивалось то что нужно устранить (предотвратить) любую утечку информации (в данном случае несколько довольно серьезных БД) Спасибо, MiTM буду разсматривать, но относительно него не уверен что он подойдет...

romik_lavrik
() автор топика
Ответ на: DLP от romik_lavrik

глупо было предлагать данную систему...

И чем же?

Macil ★★★★★
()
Ответ на: Нормативка не интересует от romik_lavrik

Нормативные документы не имеют смысла в данном вопросе...

Ну да, ктож ими пользуется когда по статьям сажают.

handbrake ★★★
()
Ответ на: Ответ на ваш вопрос от romik_lavrik

Будет очень сложно запретить пользоваться SSL/TLS/SSH, но можно резать такой трафик (см. фильтры на l7 и т.п.). Просто если не расшифровывать трафик, то нет смысла пытаться узнать содержимое. При определенных умениях зашифруют так, что к тому моменту как расшифруют ты будешь на пенсии, в лучшем случае :-)

А так, работа для раздела Job. Пишется сниф на libpcap (или что-то подобное) и дальше все где-то складируется.

gh0stwizard ★★★★★
()
6 июля 2015 г.
Ответ на: комментарий от gh0stwizard

не расшифровывать трафик

Прокси pfsense + diladele web safety встаёт между клиентом и сервером HTTPS, но ловить куски отправляемых файлов при нынешней поэтапной отправке врядли может. Во времена древних хтмл форм запрос действительно можно было перехватить. Хотя и сейчас, наверное, есть какие-то хитрые сниферы.

tlx ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.